Трансформация рынка программ-вымогателей: падение лидеров и рост Qilin

Рынок программ-вымогателей переживает заметные перемены, которые отражают изменяющуюся динамику внутри сообщества киберпреступников. Последствия этих изменений ощутимы как для игроков рынка, так и для организаций по всему миру, столкнувшихся с новыми вызовами в области кибербезопасности.

Крах известных групп: RansomHub, LockBit, Everest и BlackLock

Одним из наиболее резонансных событий стало неожиданное исчезновение группы RansomHub, признанной одним из лидеров в сфере программ-вымогателей в 2024 году. Группа работала по модели “Программа-вымогатель как услуга” (RaaS), предлагая аффилированным лицам вредоносное ПО с поддержкой нескольких платформ, включая Windows, Linux и ESXi. Исчезновение RansomHub в конце марта 2025 года совпало с заявлением конкурирующей группы DragonForce о приобретении инфраструктуры и филиалов RansomHub, что свидетельствует либо о враждебном поглощении, либо о стратегическом слиянии.

Параллельно с этим произошли серьезные сбои у других крупных игроков:

• LockBit и Everest подверглись атакам со стороны анонимного субъекта, представившегося как «XOXO из Праги». Взлом сайта утечек данных LockBit привел к раскрытию конфиденциальных журналов чатов и операционной информации, подорвав доверие к безопасности группы.
• Сайт Everest также был взломан, однако без аналогичных утечек данных, что свидетельствует о неполной успешности атаки.
• BlackLock, ранее известная как Eldorado, пострадала от уязвимости локального доступа к файлам (LFI), что позволило исследователям извлечь внутренние данные и нанести ущерб группе DragonForce. Этот факт ставит под сомнение уровень конкуренции и намекает на возможное сотрудничество или обмен ресурсами между группировками.

Появление новой силы — группа Qilin

На фоне указанной дестабилизации быстро набирает популярность новая группа Qilin, созданная в октябре 2022 года. Qilin представляет собой современную платформу RaaS и использует вредоносное ПО, написанное на Rust и C, с кросс-платформенной поддержкой Windows, Linux и ESXi.

Ключевые особенности вредоносного ПО Qilin:

• Настраиваемые режимы шифрования (включая ChaCha20 и RSA-4096);
• Функции очищения журналов и обеспечение секретности операций;
• Распространение по сети и целенаправленное воздействие на среды VMware и корпоративные платформы;
• Инновационная функция “Позвонить адвокату” во время переговоров о выкупе;
• Возможность самоудаления после выполнения задания;
• Прямое подключение через принтеры — нетипичная для программ-вымогателей особенность.

Группа Qilin ориентируется на гибкие требования к выкупу — от 50 000 до 800 000 долларов — что отражает прагматичный и финансово мотивированный подход. За последние месяцы Qilin совершила более 50 громких атак и разместила информацию о более чем 100 жертвах на своем сайте утечек.

Выводы и перспективы рынка программ-вымогателей

Текущие события показывают, что группы программ-вымогателей все чаще становятся объектами атак со стороны конкурентов и внешних киберактивистов, изменяя традиционную модель киберпреступного взаимодействия. Появление новых игроков, таких как Qilin, с передовыми технологиями и расширенным функционалом указывает на повышенную эволюцию вредоносного ПО и растущую сложность борьбы с киберугрозами.

Специалисты в области кибербезопасности должны иметь в виду, что изменения в экосистеме программ-вымогателей несут как риски, так и новые возможности для анализа и противодействия угрозам. Подходы к защите требуют постоянного обновления и учета стратегий взаимодействия внутри киберпреступного сообщества.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.